Passwörter, die einfach und sicher sind

Forscher von Microsoft haben einen Weg gefunden, leicht zu merkende Passwörter zu erstellen, ohne ein System anfälliger für Hacker zu machen.



Anstatt komplexe Passwörter zu erzwingen, wie es viele Unternehmen tun, stellt das neue Schema sicher, dass nur wenige Benutzer dasselbe Passwort haben können, was sich insgesamt auf die Sicherheit auswirkt. Weitere Untersuchungen von Microsoft zeigen auch, warum nur einige Unternehmen auf sehr komplexe Passwörter bestehen.

Immer komplexer werdende Passwortanforderungen – Regeln wie Passwörter müssen 14 Zeichen lang sein und mindestens zwei Großbuchstaben, zwei Kleinbuchstaben und drei Symbole enthalten – erschweren es Angreifern, Passwörter mit einem sogenannten Wörterbuchangriff zu erraten, bei dem viele mögliche ausprobiert werden Passwörter nacheinander.





Ohne solche Einschränkungen neigen die Leute dazu, Passwörter zu wählen, die man sich leicht merken, leicht eintippen und leicht erraten kann. Als beispielsweise im vergangenen Dezember 32 Millionen Passwörter von der Social-Media-Website RockYou versehentlich veröffentlicht wurden, stellte sich laut einer Analyse der Web-Sicherheitsfirma im vergangenen Januar fast die Hälfte als triviale Passwörter wie aufeinanderfolgende Ziffern, Wörter aus dem Wörterbuch oder gebräuchliche Namen heraus Imperva .

Wenn Sie verlangen, dass Kennwörter Zahlen, Symbole und gemischte Groß-/Kleinschreibung enthalten, erhöht sich die Anzahl der möglichen Kennwörter erheblich. Mit solchen Regeln wird ein Wörterbuchangriff unmöglich, aber auch Passwörter werden schwerer zu merken.

Systementwickler versuchen, Wörterbuchangriffe abzuwehren, indem sie ein Konto vorübergehend deaktivieren, wenn mehr als ein paar Mal ein falsches Kennwort eingegeben wird. Dies wird als Kontosperrung bezeichnet, und es überrascht nicht, dass Angreifer einen einfachen Weg gefunden haben, diesen Ansatz zu umgehen. Anstatt Tausende oder Millionen von Passwörtern für ein einzelnes Konto zu erraten, erraten Angreifer einfach die am häufigsten verwendeten Passwörter für Tausende oder sogar Millionen verschiedener Konten.



Wie weit ist der Weltraum von der Erde entfernt?

Das neue Schema von Microsoft Research verzichtet vollständig auf Komplexitätsanforderungen und schützt gleichzeitig vor Wörterbuchangriffen und statistischen Vermutungen. Der Dienst zählt einfach, wie oft ein Benutzer des Dienstes ein bestimmtes Passwort wählt. Wenn mehr als eine kleine Anzahl von Benutzern ein Passwort wählt, wird das Passwort gesperrt und niemand anderes darf es wählen. Das Schema kann nur von Organisationen mit Millionen von Benutzern verwendet werden – Websites wie Microsofts Hotmail zum Beispiel.

Die Vorgehensweise ist beschrieben in ein Papier geschrieben von Microsoft-Forschern Stuart Schechter und Cormac Herley , das im August auf der Konferenz Hot Topics in Security in Washington, DC, veröffentlicht werden soll. Michael Mitzenmacher an der Harvard University ist auch Mitautor des Papiers.

Das Ersetzen von Regeln zur Passworterstellung durch Popularitätsbeschränkungen hat das Potenzial, sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu erhöhen, schreiben die Autoren. Da keine Passwörter zu weit verbreitet werden dürfen, werden Angreifern die beliebten Passwörter vorenthalten, die sie benötigen, um eine bedeutende Gruppe von Konten mithilfe von Online-Raten zu kompromittieren.

Es gebe jedoch noch keine Pläne, das neue Schema in Microsoft-Produkten zu implementieren, sagt Herley. Wir können nicht über Microsoft-Produktpläne spekulieren, sagt er. Im Moment veröffentlichen wir es nur, um Feedback von der Sicherheitsforschungs-Community zu erhalten.

In den letzten Jahren haben Forscher auf dem aufstrebenden Gebiet der nutzbaren Sicherheit viele Informationssicherheitspraktiken unter die Lupe genommen und festgestellt, dass viele davon fehlen. Viele Computersysteme sperren beispielsweise Konten, wenn ein Benutzer sein Passwort dreimal hintereinander falsch eingibt. Doch vor sieben Jahren haben Sascha Brostoff und Angela Sasse, zwei Forscher vom University College London in Großbritannien, zeigte, dass die Erhöhung dieser Zahl von drei auf 10 reduziert die Anzahl legitimer Benutzer, die gesperrt werden, drastisch, während dies nur einen vernachlässigbaren Einfluss auf die Gesamtsicherheit eines Systems hat.

wie man ein Mädchen aus seiner Liga zieht

Letzte Woche trafen sich mehr als 200 Computersicherheitsforscher aus der ganzen Welt in Redmond, WA, bei der jährlichen Symposium über nutzbare Privatsphäre und Sicherheit um Ansätze zu diskutieren, um Computer gleichzeitig sicherer und nutzbarer zu machen.

Eine weitere Studie von Microsoft-Forschern, die auf dem Symposium vorgestellt wurde, erklärt, warum nur einige Organisationen über komplizierte Passwörter verfügen. Die Studie untersuchte Passwortrichtlinien auf 75 verschiedenen Websites, darunter die 20 bestplatzierten Websites im Internet sowie Websites von Banken, großen Universitäten und US-Regierungsbehörden. Die Microsoft-Forscher Dinei Florencio und Cormac Herley fanden keinen Zusammenhang zwischen dem Wert eines Verbraucherkontos, der Anzahl der Angriffe, denen die Website ausgesetzt war, und der Komplexität der Passwörter, die die Website-Betreiber ihren Benutzern auferlegten.

Gemäß die Studium , Websites, bei denen die Nutzer zwischen mehreren Anbietern wählen können – zum Beispiel Websites für Banken und Wertpapierfirmen – haben in der Regel relativ einfache Passwortanforderungen. Diese Websites schützen die Vermögenswerte ihrer Benutzer durch Betrugsbekämpfungstechniken, und die Unternehmen möchten es ihren Kunden nicht zu schwer machen, sich einzuloggen.

Florencio und Herley fanden heraus, dass die Websites mit den strengsten Passwortanforderungen diejenigen waren, auf denen die Benutzer im Allgemeinen keine Möglichkeit hatten, sich umzusehen – Websites wie die US-Sozialversicherungsbehörde, der National Weather Service und die Webmail-Systeme mehrerer großer Universitäten. Bei diesen Systemen haben die Organisationen keinen monetären Anreiz, Benutzerfreundlichkeit und Sicherheit in Einklang zu bringen oder andere Möglichkeiten zum Schutz von Benutzerkonten zu finden.

Die meisten Unternehmen haben Sicherheitsexperten, die strengere Richtlinien fordern, aber nur einige haben Usability-Imperative, die stark genug sind, um sie zurückzudrängen, fügen die Autoren hinzu. Wenn die Stimmen, die sich für Benutzerfreundlichkeit einsetzen, fehlen oder schwach sind, werden Sicherheitsmaßnahmen unnötig restriktiv.

Simson Garfinkel war Mitglied des Programmkomitees des Symposiums 2010 für benutzbare Sicherheit und Datenschutz.

verbergen

Tatsächliche Technologien

Kategorie

Unkategorisiert

Technologie

Biotechnologie

Technologierichtlinie

Klimawandel

Mensch Und Technik

Silicon Valley

Computer

Mit News Magazine

Künstliche Intelligenz

Platz

Intelligente Städte

Blockchain

Reportage

Alumni-Profil

Alumni-Verbindung

Mit News Feature

1865

Meine Sicht

77 Mass Avenue

Treffen Sie Den Autor

Profile In Großzügigkeit

Auf Dem Campus Gesehen

Alumni-Briefe

Nachrichten

Wahl 2020

Mit Index

Unter Der Kuppel

Feuerwehrschlauch

Unendliche Geschichten

Pandemie-Technologieprojekt

Vom Präsidenten

Titelstory

Fotogallerie

Empfohlen